Phần mềm độc hại cửa hậu EAGLET

Hoạt động gián điệp mạng tiếp tục phát triển, với các tác nhân đe dọa có liên hệ với nhà nước sử dụng ngày càng nhiều thủ đoạn lừa đảo. Một trong những vụ việc gần đây nhất liên quan đến một chiến dịch tinh vi nhằm xâm phạm các ngành hàng không vũ trụ và quốc phòng của Nga, sử dụng một backdoor tùy chỉnh có tên EAGLET để giám sát bí mật và đánh cắp dữ liệu.

Mục tiêu đã được xác định: Hàng không vũ trụ Nga đang bị bao vây

Chiến dịch này, được biết đến với tên gọi Chiến dịch CargoTalon, được cho là thuộc về một nhóm đe dọa mang tên UNG0901 (Nhóm 901 Không xác định). Nhóm này nhắm mục tiêu vào Hiệp hội Sản xuất Máy bay Voronezh (VASO), một đơn vị sản xuất máy bay lớn của Nga. Những kẻ tấn công sử dụng chiến thuật lừa đảo trực tuyến (spear-phishing) để khai thác tài liệu 'товарно-транспортная накладная' (TTN), một loại hình vận chuyển hàng hóa quan trọng đối với các hoạt động hậu cần tại Nga.

Cuộc tấn công diễn ra như thế nào: Mồi nhử vũ khí và triển khai phần mềm độc hại

Chuỗi lây nhiễm bắt đầu bằng các email lừa đảo có nội dung giả mạo về giao hàng. Những email này bao gồm các tệp ZIP chứa tệp shortcut Windows (LNK). Khi được thực thi, tệp LNK sử dụng PowerShell để khởi chạy một tài liệu Microsoft Excel giả mạo, đồng thời cài đặt backdoor EAGLET DLL trên hệ thống bị xâm nhập.

Tài liệu mồi nhử này đề cập đến Obltransterminal, một đơn vị điều hành nhà ga container đường sắt của Nga bị Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ trừng phạt vào tháng 2 năm 2024—một động thái có thể nhằm mục đích tăng thêm độ tin cậy và tính cấp bách cho mồi nhử.

Bên trong EAGLET: Khả năng và Truyền thông C2

Cửa hậu EAGLET là một thiết bị cấy ghép tàng hình được thiết kế để thu thập thông tin tình báo và truy cập liên tục. Các khả năng của nó bao gồm:

• Thu thập thông tin hệ thống
• Kết nối với máy chủ C2 được mã hóa cứng tại địa chỉ IP 185.225.17.104
• Phân tích cú pháp phản hồi HTTP để truy xuất lệnh để thực thi

Phần mềm cấy ghép này có tính năng truy cập shell tương tác và hỗ trợ các thao tác tải lên/tải xuống tệp. Tuy nhiên, do máy chủ Chỉ huy và Kiểm soát (C2) hiện đang ngoại tuyến, các nhà phân tích chưa thể xác định toàn bộ phạm vi của các tải trọng giai đoạn tiếp theo.

Mối liên hệ với các tác nhân đe dọa khác: EAGLET và Head Mare

Bằng chứng cho thấy UNG0901 không hoạt động đơn lẻ. Các chiến dịch tương tự triển khai EAGLET đã được quan sát thấy nhắm vào các thực thể khác trong lĩnh vực quân sự của Nga. Những hoạt động này cho thấy mối liên hệ với một nhóm đe dọa khác được gọi là Head Mare, được xác định là tập trung vào các tổ chức Nga.

Các chỉ số chính về sự chồng chéo bao gồm:

• Điểm tương đồng về mã nguồn giữa bộ công cụ EAGLET và Head Mare
• Quy ước đặt tên chung trong tệp đính kèm lừa đảo

Sự tương đồng về chức năng giữa EAGLET và PhantomDL, một backdoor dựa trên Go được biết đến với khả năng shell và truyền tệp

Những điểm chính: Dấu hiệu cảnh báo và mối đe dọa dai dẳng

Chiến dịch này nhấn mạnh độ chính xác ngày càng tăng của các hoạt động lừa đảo trực tuyến, đặc biệt là những hoạt động sử dụng các mồi nhử chuyên biệt cho từng tên miền như tài liệu TTN. Việc sử dụng các thực thể bị cấm trong các tệp mồi nhử, kết hợp với phần mềm độc hại tùy chỉnh như EAGLET, cho thấy xu hướng ngày càng gia tăng trong các chiến dịch gián điệp nhắm mục tiêu cao độ vào cơ sở hạ tầng quan trọng.

Các dấu hiệu thỏa hiệp và cảnh báo cần chú ý:

• Email đề cập đến hàng hóa hoặc chứng từ giao hàng từ các thực thể Nga bị trừng phạt.
• Tệp đính kèm ZIP đáng ngờ có chứa tệp LNK thực thi lệnh PowerShell.
• Kết nối đi tới các IP lạ.

Các chuyên gia an ninh mạng cần phải cảnh giác với các chiến thuật ngày càng biến đổi của những kẻ đe dọa như UNG0901, đặc biệt là khi chúng nhắm vào các lĩnh vực nhạy cảm bằng các phần mềm độc hại tùy chỉnh và bộ công cụ chồng chéo.